Zeppelin Ransomware-Erkennung: CISA und FBI geben eine gemeinsame Warnung für verbesserten Schutz gegen RaaS-Bedrohungen heraus

[post-views]
August 16, 2022 · 4 min zu lesen
Zeppelin Ransomware-Erkennung: CISA und FBI geben eine gemeinsame Warnung für verbesserten Schutz gegen RaaS-Bedrohungen heraus

Laut dem Detection-as-Code-Innovationsbericht von SOC Prime Diese deckt die Bedrohungslandschaft der Jahre 2021 bis 2022 ab. Das Ransomware-as-a-Service (RaaS) Modell erlangt eine Monopolstellung in der Cyber-Bedrohungsarena, da die Mehrheit der Ransomware-Partner an verschiedenen RaaS-Kampagnen beteiligt ist. Am 11. August 2022 veröffentlichten CISA zusammen mit dem FBI eine

gemeinsame Cybersicherheitsberatung über Zeppelin-Ransomware, die IOCs und TTPs enthält, die mit diesen Ransomware-Varianten in Verbindung stehen, um Organisationen bei der effektiven Verteidigung gegen eskalierende Bedrohungen zu unterstützen. Zeppelin-Akteure operieren auf der Grundlage des RaaS-Geschäftsmodells und zielen auf Organisationen in verschiedenen Branchen wie Verteidigung, Bildung, IT und Gesundheitswesen ab. on Zeppelin ransomware covering IOCs and TTPs related to this ransomware variants to help organizations effectively defend against escalating threats. Zeppelin actors operate based on the RaaS business model, targeting organizations in multiple industries, including defense, education, IT, and healthcare.

Zeppelin-Ransomware erkennen

Um die Risiken eines Kompromisses durch Zeppelin-Ransomware zu mindern, suchen Cybersicherheitspraktiker nach schnellen und effizienten Möglichkeiten, die Infektion in ihrer Organisationsinfrastruktur rechtzeitig zu identifizieren, indem sie die Cyber-Verteidigungsfähigkeiten stärken. Die Detection-as-Code-Plattform von SOC Prime hat kürzlich einige Compliance-basierte Sigma-Regeln veröffentlicht, die von unserem eifrigen Threat Bounty Entwickler Nattatorn Chuensangarun erstellt wurden, um Organisationen zu ermöglichen, sich proaktiv gegen Zeppelin-Ransomware-Angriffe zu verteidigen. Hier ist ein Link, um sofortigen Zugriff auf die damit verbundenen, kontextreich angereicherten Erkennungen zu erhalten, die die Cyber Threats-Suchmaschine von SOC Prime nutzen und kostenlos und ohne Registrierung verfügbar sind:

Check Point NGFW-Signaturerkennung für Zeppelin-Ransomware

Fortinet-Signaturerkennung für Zeppelin-Ransomware

Die oben genannten Sigma-Regeln können über 17 SIEM-, EDR- und XDR-Technologien hinweg eingesetzt werden und sind mit dem MITRE ATT&CK®-Framework ausgerichtet, das die Taktik der Ausführung zusammen mit der Benutzer-Ausführung (T1204) als primäre Technik adressiert.

Beteiligen Sie sich an der crowdsourced Initiative von SOC Prime, Threat Bounty Program, um zur kollaborativen Cyber-Verteidigung beizutragen, indem Sie eigene Erkennungsinhalte verfassen, wiederkehrende Belohnungen für Ihren Beitrag erhalten und Anerkennung unter Branchenkollegen gewinnen.

Registrierte SOC Prime-Nutzer können auch von der gesamten Kollektion von Sigma-Regeln profitieren, die zur Zeppelin-Ransomware-Erkennung verfügbar sind. Klicken Sie auf den Erkennen & Suchen Button, um Zugang zu den betreffenden Erkennungsalgorithmen im Threat Detection Marketplace-Repository der Plattform von SOC Prime zu erhalten. Alternativ können Sie SOC Prime durchsuchen und detaillierte Informationen zur Cyber-Bedrohung in Zusammenhang mit der Zeppelin-Ransomware und einer Liste der relevanten Sigma-Regeln aufrufen. Durch Klicken auf den Kontext zu Bedrohungen erkunden Button unten können sogar nicht registrierte Benutzer maximal von wertvollen kontextrelevanten Metadaten für beschleunigte Bedrohungsuntersuchungen profitieren, einschließlich MITRE ATT&CK- und CTI-Referenzen, relevanten ausführbaren Binärdateien und weiteren umsetzbaren Erkenntnissen.

Erkennen & Suchen Kontext zu Bedrohungen erkunden

Analyse der Zeppelin-Ransomware

The Die neueste Cybersicherheitswarnung , die in Zusammenarbeit mit CISA und FBI herausgegeben wurde, gewährt Einblicke in Zeppelin-Ransomware und bietet Richtlinien, wie die Bedrohung effektiv gemindert werden kann. Zeppelin-Ransomware gehört zur Vega-Malware-Familie, wobei der Gruppenname auf Ransomware-Operationen zurückgeführt wird, die als Vega oder VegaLocker verfolgt werden. Bedrohungsakteure nutzen die Zeppelin-Ransomware seit 2019 und zielen auf Geschäfts- und kritische Infrastrukturoperationen in verschiedenen Branchen ab. Zeppelin-Ransomware-Auftraggebern wurde auch vorgeworfen, Lösegeldzahlungen in Bitcoin in Höhe von über einer Million Dollar zu verlangen.

Laut der Forschung von Picus Labs, traten Zeppelin-Akteure in der Cyber-Bedrohungslandschaft ins Rampenlicht, indem sie Malware-Werbung für ein russischsprachiges Publikum nutzten. Alle von Bedrohungsakteuren verbreiteten Ransomware-Varianten wiesen Ähnlichkeiten im Code auf, hatten jedoch unterschiedliche Fähigkeiten. Zeppelin scheint hoch konfigurierbar zu sein und kann in verschiedenen Formen eingesetzt werden, als DDL- oder EXE-Datei und über den PowerShell-Dropper. Zeppelin-Akteure verwenden die Taktik der doppelten Erpressung, um ihre neueste Ransomware-Variante auf dem kompromittierten System mithilfe von Datenauszug und aktivem Erzwingen der Lösegeldzahlung zu verbreiten.

Zu den beliebtesten Methoden für das Eindringen und die Bereitstellung von Zeppelin-Ransomware gehören das Remote Desktop Protokoll, das Ausnutzen von Schwachstellen und Phishing-Angriffsmethoden.  

Um die mit Zeppelin verbundenen Bedrohungen zu verringern, empfehlen Cybersicherheitsforscher, die ausgenutzten Schwachstellen zu priorisieren, die Multi-Faktor-Authentifizierung für alle Dienste der Organisation als zusätzliche Sicherheitsebene zu aktivieren, auf die neuesten Softwareversionen zu aktualisieren und andere Best Practices anzuwenden, die helfen, die Sicherheitsstandards aufrechtzuerhalten.

Fortschrittliche Organisationen bemühen sich, eine proaktive Cybersicherheitsstrategie zu übernehmen, um die Cyber-Verteidigung zu stärken. Mit der Detection-as-Code-Plattform von SOC Primekönnen Cybersicherheitspraktiker einen optimierten und effizienten Weg finden, die Erkennungs- und Abwehrfähigkeiten der Organisation zu verstärken sowie die Bedrohungserkennung zu beschleunigen. Indem Sie sich den Reihen unserer Threat Bounty Programanschließen, erhalten aufstrebende Autoren von Erkennungsinhalten die Möglichkeit, das kollektive Fachwissen der Branche zu bereichern, indem sie ihre Erkennungsalgorithmen mit der globalen Cybersicherheitsgemeinschaft teilen, während sie regelmäßig mit ihrem Beitrag Geld verdienen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen 3 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen by Veronika Telychko Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein 4 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein by Veronika Telychko BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme 5 min zu lesen Neueste Bedrohungen BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme by Veronika Telychko
Alle Nachrichten